EAGLET-takaporttihaittaohjelma
Kybervakoilu kehittyy jatkuvasti, ja valtioihin kytkeytyvät uhkatoimijat käyttävät yhä harhaanjohtavampia taktiikoita. Yksi uusimmista tapauksista liittyy monimutkaiseen kampanjaan, jonka tarkoituksena on vaarantaa Venäjän ilmailu- ja puolustussektorit hyödyntämällä EAGLET-nimistä räätälöityä takaporttia peitevalvontaan ja tietovarkauksiin.
Sisällysluettelo
Kohde tunnistettu: Venäjän ilmailuteollisuus piirityksen kohteena
Operaatio CargoTalonina tunnettu kampanja on liitetty uhkaryppääseen UNG0901 (Tuntematon ryhmä 901). Tämä ryhmä on kohdistanut tähtäimensä Voronežin lentokonetuotantoyhdistykseen (VASO), merkittävään venäläiseen lentokonevalmistajaan. Hyökkääjät käyttävät tietojenkalastelutaktiikkaa, jossa hyödynnetään "товарно-транспортная накладная" (TTN) -asiakirjoja, jotka ovat kriittisiä Venäjän logistiikkatoiminnoille.
Hyökkäyksen kulku: Aseistetut houkuttimet ja haittaohjelmien käyttöönotto
Tartuntaketju alkaa huijausviesteillä, jotka sisältävät tekaistua rahdinkuljetusaiheista sisältöä. Nämä viestit sisältävät ZIP-arkistoja, jotka sisältävät Windows-pikakuvakkeen (LNK). Suoritettaessa LNK-tiedosto käyttää PowerShelliä käynnistääkseen harhautus Microsoft Excel -tiedoston ja samanaikaisesti asentaakseen EAGLET DLL -takaportin tartuntajärjestelmään.
Houkutelmassa viitataan Obltransterminaliin, venäläiseen rautatiekonttiterminaalioperaattoriin, jolle Yhdysvaltain valtiovarainministeriön ulkomaisten varojen valvontatoimisto (OFAC) asetti pakotteet helmikuussa 2024 – toimenpiteen tarkoituksena on todennäköisesti lisätä houkutuksen uskottavuutta ja kiireellisyyttä.
EAGLETin sisällä: Kyvykkyydet ja johtamisviestintä
EAGLET-takaovi on huomaamaton implantti, joka on suunniteltu tiedonkeruuseen ja jatkuvaan pääsyyn. Sen ominaisuuksiin kuuluvat:
- Järjestelmätietojen kerääminen
- Yhdistetään kovakoodattuun C2-palvelimeen IP-osoitteessa 185.225.17.104
- HTTP-vastausten jäsentäminen komentojen noutamiseksi suoritusta varten
Implantti sisältää interaktiivisen käyttöliittymän ja tukee tiedostojen lähetys- ja lataustoimintoja. Command-and-Control (C2) -palvelimen nykyisen offline-tilan vuoksi analyytikot eivät kuitenkaan ole pystyneet määrittämään mahdollisten seuraavan vaiheen hyötykuormien koko laajuutta.
Yhteydet muihin uhkatoimijoihin: EAGLET ja Head Mare
Todisteet viittaavat siihen, että UNG0901 ei toimi eristyksissä. Samankaltaisia EAGLET-operaatioita käyttäviä kampanjoita on havaittu kohdistettu myös muihin Venäjän sotilassektorin toimijoihin. Nämä operaatiot paljastavat yhteyksiä toiseen uhkaryhmään nimeltä Head Mare, joka on tunnistettu keskittymisestään venäläisiin organisaatioihin.
Päällekkäisyyden keskeisiä indikaattoreita ovat:
- EAGLET- ja Head Mare -työkalusarjojen lähdekoodien yhtäläisyydet
- Yhteiset nimeämiskäytännöt tietojenkalasteluliitteissä
EAGLETin ja PhantomDL:n, Go-pohjaisen takaoven, joka tunnetaan käyttöliittymästään ja tiedostonsiirto-ominaisuuksistaan, toiminnalliset yhtäläisyydet
Keskeiset tiedot: Varoitusmerkit ja jatkuvat uhat
Tämä kampanja korostaa keihästietojenkalasteluoperaatioiden kasvavaa tarkkuutta, erityisesti sellaisten, joissa käytetään verkkotunnuskohtaisia houkuttimia, kuten TTN-asiakirjoja. Hyväksyttyjen toimijoiden käyttö houkutustiedostoissa yhdistettynä räätälöityihin haittaohjelmiin, kuten EAGLET, kuvaa kasvavaa trendiä kriittiseen infrastruktuuriin kohdistuvissa tarkasti kohdennetuissa vakoilukampanjoissa.
Kompromissin merkit ja varoitusmerkit, joihin kannattaa kiinnittää huomiota:
- Sähköpostit, jotka viittaavat pakotteiden kohteena olevien venäläisten tahojen rahtiin tai toimitusasiakirjoihin.
- Epäilyttävät ZIP-liitteet, jotka sisältävät PowerShell-komentoja suorittavia LNK-tiedostoja.
- Lähtevät yhteydet tuntemattomiin IP-osoitteisiin.
Kyberturvallisuusammattilaisten tulisi pysyä valppaina uhkatoimijoiden, kuten UNG0901:n, kehittyvien taktiikoiden suhteen, erityisesti kun ne kohdistavat toimintansa herkille aloille räätälöidyillä haittaohjelmaimplanteilla ja päällekkäisillä työkaluilla.
